CN101902733B - 一种发送gba初始化请求的方法、系统及设备 - Google Patents
一种发送gba初始化请求的方法、系统及设备 Download PDFInfo
- Publication number
- CN101902733B CN101902733B CN200910085799.8A CN200910085799A CN101902733B CN 101902733 B CN101902733 B CN 101902733B CN 200910085799 A CN200910085799 A CN 200910085799A CN 101902733 B CN101902733 B CN 101902733B
- Authority
- CN
- China
- Prior art keywords
- bsf
- address
- initialization request
- gba initialization
- attributed region
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种发送GBA初始化请求的方法,所述方法包括:第一BSF接收UE的GBA初始化请求;所述第一BSF确定所述UE的归属区域,并根据预先保存的归属区域与BSF地址的对应关系,确定发送GBA初始化请求的UE的归属区域对应的第二BSF地址;所述第一BSF根据第二BSF地址将所述GBA初始化请求转发给所述第二BSF。通过本发明,实现了在多BSF的网络中对UE归属的BSF寻址,当UE与归属的BSF关系发生变化时,由于BSF个数少于NAF的个数,更新各BSF中归属区域与BSF的对应关系的效率较高。本发明公开了一种发送GBA初始化请求的系统及设备。
Description
技术领域
本发明涉及通信领域,尤其涉及一种在GBA机制下发送GBA初始化请求的方法、系统及设备。
背景技术
通用认证机制(Generic Bootstrapping Architecture,GBA)是一种使用对称密钥来完成鉴权和密钥协商的通用安全机制,是通用鉴权框架(GenericAuthentication Architecture,GAA)的一部分。
GBA在3GPP相互鉴权和密钥协商机制(Authentication and KeyAgreement,AKA)的基础上,提供了一种在用户设备(User Equipment,UE)和服务器之间建立共享密钥的通用机制。在GBA机制中引入了一个新的网元:自举服务功能设备(Bootstrapping Server Function,BSF)。UE和HSS/HLR之间使用AKA进行密钥协商后,BSF和UE可以再协商出一个会话密钥,应用服务器(NAF)从BSF中取得会话密钥和UE相关信息后,UE和NAF之间就建立了共享密钥,随后就能够利用此密钥为应用服务提供安全保护,特别是在应用服务会话开始时为UE和NAF提供相互鉴权。
在接入用户多、覆盖面积广的网络中建设GBA机制时,需要部署多个BSF才能满足实际需求,但这就引入一个问题:UE如何对为自身提供服务的BSF进行寻址,只有在UE找到为自身提供服务的BSF后,才能向BSF发起GBA初始化请求,完成AKA鉴权过程并最终完成GBA。
目前UE寻找为自身提供服务的BSF的方式主要有以下几种:
方式一:
UE根据3GPP TS 23.003 R7标准中的规定,利用国际移动用户标识符(international mobile subscriber identity,IMSI)中的移动台国家码(Mobile CountryCode,MCC)、移动网络代码(Mobile Network Code,MNC)推导出BSF的地址。例如:假设用户的IMSI为″460009999999999″,其中MCC=460,MNC=00,由此可以推导出BSF的地址为″bsf.mnc00.mcc460.pub.3gppnetwork.org″。
由于IMSI中的MCC表示国家码、MNC表示移动网络代码,例如,MCC为460,MNC为00或02两种时,通过方式一推导出的BSF地址只有两个。如果网络中部署的BSF个数超出2个,则方式一将不再适用。
方式二:
将为UE提供服务的BSF的地址直接预置到UE中。
方式二虽然可以用于BSF个数较多的网络中,但当UE中预置了BSF地址以后,BSF地址将无法更新,而UE和BSF地址的对应关系并不是永远不变的,会根据需要实时修改,因此方式二的方法无法解决UE预置BSF地址的更新问题。
方式三:
在GBA架构下的每一个NAF内配置一个UE归属的BSF地址保存模块,当UE需要寻找BSF时,首先访问NAF,NAF可以通过UE上报的IMSI从BSF地址保存模块中查询出归属的BSF地址,并将查询出的地址返回给UE。
方式三中,由于NAF中的BSF地址可以在网络侧更新,因此解决了方式二的问题,但是将UE和归属的BSF地址的对应关系完全放到NAF中,也会带来以下问题:
1、由于需要为每个NAF配置UE归属的BSF地址保存模块,并设计IMSI解析、查询等流程,增加NAF实现的难度;
2、当UE与归属的BSF对应关系发生改变时,需要更新网络中所有的NAF,由于全网的NAF数量众多,且包含移动网络外部的第三方NAF,可能存在接口不统一等问题,数据更新难度大。
综上所述,现有的确定UE归属的BSF的地址并使UE能够向归属的BSF发起GBA初始化请求的方式下,不仅需要在大量的NAF配置UE与归属的BSF的对应关系,增加NAF的实现难度,并且当UE与归属的BSF对应关系发生改变时,对每一个NAF配置的更新难度大。
发明内容
本发明实施例提供一种发送GBA初始化请求的方法、系统及设备,以解决在多BSF的网络中,UE难以查询归属的BSF的问题,进而难以实现向归属的BSF发送GBA初始化请求的过程。
一种发送GBA初始化请求的方法,所述方法包括:
第一BSF接收UE的GBA初始化请求;
所述第一BSF确定所述UE的归属区域,并根据预先保存的归属区域与BSF地址的对应关系,确定发送GBA初始化请求的UE的归属区域对应的第二BSF地址;
所述第一BSF根据第二BSF地址将所述GBA初始化请求转发给所述第二BSF。
一种GBA初始化请求的方法,所述方法包括:
第一BSF接收UE的GBA初始化请求;
所述第一BSF确定所述UE的归属区域,并根据预先保存的归属区域与BSF地址的对应关系,确定发送GBA初始化请求的UE的归属区域对应的第二BSF地址,并将确定的所述第二BSF地址发送给所述UE;
所述UE利用所述第二BSF地址向第二BSF发送GBA初始化请求。
一种发送GBA初始化请求的系统,所述系统包括第一BSF、第二BSF和UE,其中:
UE,用于向第一BSF发送GBA初始化请求;
第一BSF,用于确定所述UE的归属区域,并根据预先保存的归属区域与BSF地址的对应关系,确定发送GBA初始化请求的UE的归属区域对应的第二BSF地址,以及根据第二BSF地址将所述GBA初始化请求转发给所述第二BSF。
一种发送GBA初始化请求的系统,所述系统包括第一BSF、第二BSF和UE,其中:
UE,用于向第一BSF发送GBA初始化请求,以及接收第一BSF返回的第二BSF地址,并利用所述第二BSF地址向第二BSF发送GBA初始化请求;
第一BSF,用于确定所述UE的归属区域,并根据预先保存的归属区域与BSF地址的对应关系,确定发送GBA初始化请求的UE的归属区域对应的第二BSF地址,以及将所述第二BSF地址发送给UE。
一种BSF设备,所述设备包括:
接收模块,用于接收UE的GBA初始化请求;
确定模块,用于确定所述UE的归属区域,并根据预先保存的归属区域与BSF的对应关系,确定发送GBA初始化请求的UE的归属区域对应的BSF地址;
发送模块,用于根据确定的BSF地址将所述GBA初始化请求转发给对应的BSF。
一种BSF设备,所述设备包括:
接收模块,用于接收UE的GBA初始化请求;
确定模块,用于确定所述UE的归属区域,并根据预先保存的归属区域与BSF地址的对应关系,确定发送GBA初始化请求的UE的归属区域对应的BSF地址;
发送模块,用于将确定的BSF的地址发送给UE。
本发明方案中,由于网络中的BSF根据预先保存的UE归属区域与BSF地址的对应关系,因此,BSF能够在接收到一个UE发出的GBA初始化请求后,方便的确定UE归属的BSF,进而使UE发出的GBA初始化请求正确到达归属的BSF,实现了在多BSF的网络中对UE归属的BSF寻址过程,由于对UE归属的BSF的寻址过程是由网络中有限个数的BSF完成,使得在各BSF中保存并更新UE归属区域与BSF地址的对应关系更加简便。
附图说明
图1为本发明实施例一中发送GBA初始化请求的方法步骤示意图;
图2为本发明实施例一中按照BSF划分区域的示意图;
图3为本发明实施例二中发送GBA初始化请求的方法流程示意图;
图4为本发明实施例三中发送GBA初始化请求的方法步骤示意图;
图5为本发明实施例四中发送GBA初始化请求的方法流程示意图;
图6为本发明实施例五中发送GBA初始化请求的系统结构示意图;
图7为本发明实施例六中BSF设备结构示意图;
图8为本发明实施例七中发送GBA初始化请求的系统结构示意图;
图9为本发明实施例八中BSF设备结构示意图;
图10为本发明应用于手机电视业务时的组网示意图;
图11为本发明应用于手机电视业务时的信令流程示意图。
具体实施方式
为了在具有多个BSF的网络架构下,使UE在需要进行GBA初始化过程时发出的GBA初始化请求能够方便地到达UE归属的BSF,本发明对BSF进行了改造,在每个BSF中记录UE归属区域与BSF地址的对应关系,也就是UE与归属的BSF的对应关系。当UE向任意一个BSF发起GBA初始化请求后,接收到GBA初始化请求的BSF可以容易地确定出该UE的归属区域,进而将归属区域内的BSF作为UE归属的BSF。由于网络中BSF的数量远少于NAF的数量,即使更新每个BSF内保存的UE与归属的BSF的对应关系也比较容易。
在本发明各实施例中涉及的自举服务功能设备是根据Bootstrapping ServerFunction按中文习惯翻译而成,BSF本身的含义与现有的通信领域中的BSF设备相同。
下面结合说明书附图对本发明实施例进行详细描述。
如图1所示,为本发明实施例一中向BSF发送GBA初始化请求的方法步骤示意图,所述方法包括以下步骤:
步骤101:第一BSF接收来自UE的GBA初始化请求。
所述GBA初始化请求中包含所述UE的IMSI。
在UE向第一BSF发出GBA初始化请求时,并不确定第一BSF是否是UE归属的BSF。如果第一BSF根据UE的IMSI确定自身正好是UE归属的BSF,则第一BSF根据接收到的GBA初始化请求进行相应的GBA初始化操作。如果第一BSF确定自身不是UE归属的BSF,则进行本实施例后续的操作。
步骤102:所述第一BSF确定所述UE的归属区域,根据预先保存的归属区域与BSF地址的对应关系,确定发送GBA初始化请求的UE的归属区域对应的第二BSF地址。
在本实施例一中,由于每一个BSF中都保存了归属区域与BSF地址的对应关系,则第一BSF可以在确定UE的归属区域后,将与该归属区域对应的BSF作为第二BSF。
步骤103:所述第一BSF根据第二BSF地址将所述GBA初始化请求转发给所述第二BSF。
在本实施例一中,第一BSF确定出UE归属第二BSF时,直接将UE发出的GBA初始化请求转发给第二BSF,代替UE完成向归属的BSF发出GBA初始化请求的操作。
通过本发明实施例一的方案,UE和NAF事先都不必记录UE与归属区域以及归属的BSF的直接或间接的对应关系,即使UE处于漫游状态,UE也可以向拜访的BSF(即第一BSF)发出GBA初始化请求,由拜访的BSF确定UE实际的归属的BSF(即第二BSF),最终实现UE发出的GBA初始化请求到达归属的BSF,完成GBA初始化操作。
在本发明实施例一的方案中,可以将包含多个BSF的网络划分为多个区域,如图2所示,例如,按照行政区域划分原则将覆盖中国地区的网络按省划分为多个区域,或者是按地域将覆盖中国地区的网络划分为华北地区、华中地区等。在每一个划分的区域中包含多个NAF和负责管理这些NAF的一个BSF,一个区域内的NAF和BSF具有绑定关系。在每个划分的区域内还包含一个或者多个归属签约用户服务器(HSS)/归属位置寄存器(HLR),UE可以与归属的BSF和同一区域内的HSS/HLR完成AKA密钥协商进而协商出会话密钥。特殊地,多个区域可以共用一个BSF。
本发明实施例二是实施例一的较佳实施例,以图2所示的BSF划分为基础,说明UE向归属的BSF发送GBA初始化请求的方法。假设本实施例二的方案中,UE的归属区域是区域1,归属的BSF是区域1中的BSF_1,当UE漫游至区域2时,向归属的BSF_1发送GBA初始化请求的示意图如图3所示,步骤如下:
步骤201:UE向区域2中的拜访的NAF发送访问请求。
在本实施例二中,UE漫游至区域2,则区域2中的NAF是拜访的NAF。在初始时,UE可以不主动寻找归属的BSF,UE发起的各种访问请求直接发送给拜访的NAF。
步骤202:拜访的NAF判断UE是否需要完成GBA初始化过程,如果是,则跳转至步骤203;否则,本实施例的流程结束。
拜访的NAF判断UE是否需要完成GBA初始化过程,可以根据3GPP TS33.220R8和NAF密钥策略共同决定。
具体的判断过程如下:UE和NAF之间通过HTTP协议进行通信,NAF响应步骤201中UE的访问请求,判断访问请求中有没有GBA参数信息。如果没有GBA参数信息,说明UE需要完成GBA初始化过程;如果有GBA参数信息,说明UE已经完成GBA初始化过程,因此本流程结束。
步骤203:拜访的NAF将拜访的BSF的地址发送给UE。
在本实施例中,由于拜访的NAF和拜访的BSF(即图2中的BSF_2)是划分在同一区域内具有绑定关系的设备,因此,拜访的NAF中记录了拜访的BSF的地址,在确定UE需要进行GBA初始化过程时,将拜访的BSF地址发送给UE,指示UE利用拜访的BSF完成向归属的BSF发送GBA初始化请求。
步骤204:UE获得拜访的BSF地址后,向拜访的BSF发送GBA初始化请求。
步骤205:拜访的BSF接收到GBA初始化请求后,根据IMSI与移动用户号码(Mobile Station ISDN number,MSISDN)的对应关系,确定所述UE的MSISDN。
步骤206:拜访的BSF根据UE的MSISDN推导出UE的归属区域为区域1。
步骤207:拜访的BSF根据归属区域与BSF地址的对应关系,确定UE的归属区域1对应的BSF为BSF_1。
在本实施例二中,拜访的BSF中保存了的IMSI与MSISDN的对应关系、MSISDN和归属区域的对应关系,以及各归属区域内的BSF的相关信息,通过上述对应关系和信息,拜访的BSF最终推导出了UE归属的BSF的地址。本发明实施例也不限于其他方式使拜访的BSF通过UE的IMSI确定UE的归属的BSF。例如,可以在拜访的BSF中直接保存IMSI与归属的BSF的对应关系。
步骤208:拜访的BSF将来自UE的所述GBA初始化请求转发给归属的BSF,完成GBA初始化请求发送操作。
后续,UE可以与归属的BSF和归属的HSS/HLR完成AKA密钥协商进而协商出会话密钥。
在3GPPTS 33.220R8标准中没有规定不同的BSF之间直接通信的流程,但是BSF之间是相互连接的,在现有标准的基础上容易增加不同BSF的通信功能。当拜访的BSF直接将UE发出的GBA初始化请求转发给归属的BSF,减少了信令交互,可以有效提高GBA初始化过程的效率。另一方面,为了减少对现有标准的修改,本发明实施例三还提供另一种向BSF发送GBA初始化请求的方法,如图4所示,所述方法包括以下步骤:
步骤301至步骤302与实施例一中步骤101和步骤102相同,此处不再赘述。
步骤303:第一BSF将确定的第二BSF地址发送给所述UE。
步骤304:UE利用所述第二BSF地址重新向第二BSF发送GBA初始化请求。
在本发明实施例三的方案中,第一BSF与第二BSF之间并没有直接通信,可以避免对现有协议的修改。
本发明实施例四是本发明实施例三的较佳实施例,流程示意图如图5所示,实施例四中的步骤401至步骤407与实施例二中步骤201至步骤207相同,此处不再赘述。
步骤408:拜访的BSF将归属的BSF的地址发送给UE,指示UE向归属的BSF发送GBA初始化请求。
步骤409:UE接收到归属的BSF的地址后,向归属的BSF发送GBA初始化请求。
本发明实施例五还提供一种发送GBA初始化请求的系统,如图6所示,包括第一BSF11、第二BSF12和UE13,其中:UE13用于向第一BSF11发送GBA初始化请求;第一BSF11用于确定所述UE的归属区域,并根据预先保存的归属区域与BSF地址的对应关系,确定发送GBA初始化请求的UE的归属区域对应的第二BSF12地址,以及根据第二BSF地址将所述GBA初始化请求转发给所述第二BSF12。
所述系统还包括与第一BSF11存在绑定关系的NAF14,则UE13还用于向NAF14发送访问请求,接收NAF14返回的第一BSF的地址,并通过接收到的第一BSF的地址向所述第一BSF11发起GBA初始化请求;NAF14用于确定所述UE11需要完成GBA初始化过程时,将所述第一BSF的地址发送给所述UE11。
进一步地,第一BSF11用于在接收到的GBA初始化请求中包含所述UE的IMSI时,根据所述IMSI确定对应的移动用户号码MSISDN,并利用确定的所述MSISDN确定所述UE的归属区域。
本发明实施例六还提供一种BSF设备,如图7所示,所述设备包括接收模块21、确定模块22和发送模块23,其中:接收模块21用于接收来自UE的GBA初始化请求;确定模块22用于确定所述UE的归属区域,并根据预先保存的归属区域与BSF地址的对应关系,确定发送GBA初始化请求的UE的归属区域对应的BSF地址;发送模块23用于根据确定的BSF地址将所述GBA初始化请求转发给对应的BSF。
进一步地,所述确定模块22包括区域确定子模块31和BSF确定子模块32,其中:区域确定子模块31用于在接收到的GBA初始化请求中包含所述UE的IMSI时,根据所述IMSI确定对应的移动用户号码MSISDN,并利用确定的所述MSISDN确定所述UE的归属区域;BSF确定子模块32用于将UE的归属区域内的BSF作为确定的BSF。
本发明实施例七还提供一种发送GBA初始化请求的系统,如图8所示,所述系统包括第一BSF41、第二BSF42和UE43,其中:UE43用于向第一BSF41发送GBA初始化请求,以及接收第一BSF41返回的第二BSF地址,并利用所述第二BSF地址向第二BSF42发送GBA初始化请求;第一BSF41用于确定所述UE的归属区域,并根据预先保存的归属区域与BSF地址的对应关系,确定发送GBA初始化请求的UE的归属区域对应的第二BSF地址,以及将所述第二BSF地址发送给UE43。
所述系统还包括与第一BSF存在绑定关系的NAF44,则UE43还用于向NAF44发送访问请求,接收NAF44返回的第一BSF的地址,并通过接收到的第一BSF的地址向所述第一BSF41发起GBA初始化请求;NAF44用于确定所述UE43需要完成GBA初始化过程时,将所述第一BSF的地址发送给所述UE43。
进一步地,第一BSF41用于在接收到的GBA初始化请求中包含所述UE的IMSI时,根据所述IMSI确定对应的移动用户号码MSISDN,并利用确定的所述MSISDN确定所述UE的归属区域。
本发明实施例八还提供一种BSF设备,如图9所示,所述设备包括接收模块51、确定模块52和发送模块53,其中:接收模块51接收UE的GBA初始化请求;确定模块52用于确定所述UE的归属区域,并根据预先保存的归属区域与BSF地址的对应关系,确定发送GBA初始化请求的UE的归属区域对应的BSF地址;发送模块53用于将确定的BSF的地址发送给UE。
所述确定模块包括52包括区域确定子模块61和BSF确定子模块62,其中:区域确定子模块61用于在接收到的GBA初始化请求中包含所述UE的IMSI时,根据所述IMSI确定对应的移动用户号码MSISDN,并利用确定的所述MSISDN确定所述UE的归属区域;BSF确定子模块62用于将UE的归属区域内的BSF作为确定的BSF。
对终端进行GBA初始化的过程可以应用于手机电视业务中。现有的手机电视业务中,由NAF对终端发送的GBA初始化请求进行解析,确定终端归属的BSF地址,并将确定的终端归属的BSF地址发送给终端,已完成后续的GBA初始化过程。现有的手机电视业务由于需要为每个NAF配置UE归属的BSF地址保存模块,并设计IMSI解析、查询等流程,必然会增加NAF实现的难度;同时当UE与归属的BSF对应关系发生改变时,需要更新网络中所有的NAF,由于全网的NAF数量众多,且包含移动网络外部的第三方NAF,可能存在接口不统一等问题,数据更新难度大。
当本发明实施例的方法应用于手机电视业务中时,可以避免上述问题。如图10所示,为本发明实施例应用于手机电视业务时组网图,假设将网络划分为多个区域,每个区域中的NAF包括C_NAF和L_NAF,其中C_NAF负责整个网络的业务信息同步,L_NAF负责所在区域的业务信息同步、用户密钥管理、业务密钥消息封装,以及业务控制和订购关系终端同步功能。由于C_NAF仅负责整个网络的业务信息同步,无用户密钥管理等功能,因此无需与BSF相连;L_NAF则需要与BSF搭配,共同完成手机电视的业务功能。
如图10所示,3个区域业务节点分别由各自的L_NAF和BSF组成,C_NAF与各个区域的L_NAF相连接。
假设手机电视业务中存在如下应用场景:区域1内的终端漫游到区域2,点播或订购区域2业务节点的节目,则终端寻找归属的BSF并发送GBA初始化请求的流程图如图11所示,具体的过程如下:
第一步:终端向SIM卡请求IMSI,并获得SIM卡返回的IMSI。
第二步:在终端需要请求手机电视业务时,向WAP网关发送GBA初始化请求(Bootstrapping Initiation.REQ)消息。
当终端从3G网络接入时,则接入就近的3G WAP网关;当终端从2G网络接入时,则接入就近的2G WAP网关。
第三步:终端接入的WAP网关向拜访地NAF发送Bootstrapping_Initiation.REQ消息,其中携带终端的IMSI。
第四步:拜访地NAF向终端接入的WAP网关发送Bootstrapping_Initiation.RES消息,其中携带拜访地BSF地址。
第五步:终端接入的WAP网关向终端返回Bootstrapping_Initiation.RES消息,其中携带拜访地BSF地址。
第六步:终端向接入的WAP网关发送Bootstrapping_Register.REQ消息,消息中携带的目标地址为拜访地BSF。
第七步:终端接入的WAP网关向拜访地BSF发送Bootstrapping_Register.REQ消息,其中携带终端的IMSI。
第八步:拜访地BSF从Bootstrapping_Initiation.REQ消息中提取出终端的IMSI,把终端IMSI转换为IMS私有用户标识(IMPI),并查询终端归属的BSF的地址。
第九步:拜访地BSF将Bootstrapping_Initiation.REQ消息和IMPI转发给用户归属的BSF。
此时,终端对归属的BSF寻址并发送GBA初始化请求的流程完成。在第九步中,拜访地的BSF也可以将归属地的BSF地址发送给终端,由终端向归属地的BSF发送GBA初始化请求。
目前业界通用的业务平台建设模式主要有两种:单点建设和分省建设。单点建设主要是在一个区域内(如一个省内)建设业务平台,该业务平台服务于全网的用户。分省建设是将全网划分为多个区域(如将全国按省划分),每一个区域内都建设一个业务平台,区域内的业务平台服务于所在区域的用户。
对于单点建设的业务来说,由于业务平台只有一个,并且通常建设在某一个区域,因此当这个平台服务于全网用户时,必然会出现其它区域的用户漫游到该区域并使用该业务的场景,本发明实施例提出的BSF寻址并完成GBA初始化请求的方式可以应用到此类业务当中。
单点建设的业务除了上述的手机电视业务外,还可以包括其他业务,例如网络游戏业务,应用本发明的网络游戏业务的场景如下:
某一个互联网业务平台(例如网络游戏平台)可能受到自身实力或者用户数量的限制,并不采用分省建设的方式,而是采用单点建设。即只在某一个区域建设业务平台,但是服务于全网的用户,其它区域的用户必须漫游到该区域并使用这个网络游戏业务。因此,用户漫游地的BSF需要利用本发明方法查询用户归属地BSF地址。
随着移动网络的开放,适用于本发明的应用场景可能会大量出现,对于这些第三方互联网业务平台来说,本方案提出的BSF寻址方式是很好的查询归属的BSF地址的方案,具有较高的实用价值。
通过本发明实施例提供的方法、系统及设备,由网络中的BSF替UE查询出归属的BSF,使UE发出的GBA初始化请求正确到达归属的BSF,进而实现UE与归属的BSF的通信。本发明方案中,UE不需要配置专用的运算模块或者预置信息,只需要具备和网元的通信功能,通过访问网络侧的NAF和BSF来获取归属的BSF地址。因此对于任何的BSF部署方案,都可以应用本发明的BSF寻址方式进行寻址;在实际使用过程中,UE的归属区域、BSF的部署方式以及BSF地址等信息都有可能变更,以上这些信息中的任何一个发生变化,BSF的寻址方式都要做出相应的调整,本发明将解析UE的IMSI号得到UE归属区域进而确定归属的BSF地址这一重要功能放到了BSF中,首先是因为在网络中BSF的数量要远远的少于NAF的数量,更新BSF的效率更高;其次,通常情况下用户的归属的BSF的地址发生变化原因就是BSF发生调整,即BSF自身的调整和UE归属地BSF地址的调整经常会同时发生,可以将工作合并。另外,NAF只需要向UE发出拜访地BSF地址这一个功能,UE的拜访地就是NAF的所在地,对于NAF来说容易实现,其它功能全部由拜访的BSF负责,因此附加到NAF上的功能非常少,减轻了网络中大量NAF的工作量;同时,对于NAF来说,主要负责业务平台的管理,不需要了解BSF的部署情况以及用户的归属的BSF等信息,特别是对于第三方NAF来说,这些信息的泄露将可能影响到网络安全,本发明最大限度的简化NAF功能,使得NAF只需要知道NAF本地的BSF地址即可,保护了网络和用户的安全。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (16)
1.一种发送通用认证机制GBA初始化请求的方法,其特征在于,所述方法包括:
第一自举服务功能设备BSF接收UE的GBA初始化请求;
所述第一BSF确定所述UE的归属区域,并根据预先保存的归属区域与BSF地址的对应关系,确定发送GBA初始化请求的UE的归属区域对应的第二BSF地址;
所述第一BSF根据第二BSF地址将所述GBA初始化请求转发给所述第二BSF。
2.如权利要求1所述的方法,其特征在于,UE向第一BSF发送GBA初始化请求包括:
应用服务器NAF接收来自UE的访问请求,所述NAF与所述第一BSF存在绑定关系;
所述NAF确定所述UE需要完成GBA初始化过程时,将所述第一BSF的地址发送给所述UE;
所述UE通过接收到的第一BSF的地址向所述第一BSF发起GBA初始化请求。
3.如权利要求1或2所述的方法,其特征在于,所述GBA初始化请求中包含所述UE的国际移动用户标识符IMSI;
第一BSF确定UE的归属区域的步骤包括:
第一BSF根据接收到的IMSI确定对应的移动用户号码MSISDN,并利用确定的所述MSISDN确定所述UE的归属区域。
4.一种发送通用认证机制GBA初始化请求的方法,其特征在于,所述方法包括:
第一自举服务功能设备BSF接收UE的GBA初始化请求;
所述第一BSF确定所述UE的归属区域,并根据预先保存的归属区域与BSF地址的对应关系,确定发送GBA初始化请求的UE的归属区域对应的第二BSF地址,并将确定的所述第二BSF地址发送给所述UE;
所述UE利用所述第二BSF地址向第二BSF发送GBA初始化请求。
5.如权利要求4所述的方法,其特征在于,UE向第一BSF发送GBA初始化请求包括:
NAF接收来自UE的访问请求,所述NAF与所述第一BSF存在绑定关系;
所述NAF确定所述UE需要完成GBA初始化过程时,将所述第一BSF的地址发送给所述UE;
所述UE通过接收到的第一BSF的地址向所述第一BSF发起GBA初始化请求。
6.如权利要求4或5所述的方法,其特征在于,所述GBA初始化请求中包含所述UE的国际移动用户标识符IMSI;
第一BSF确定UE的归属区域的步骤包括:
第一BSF根据接收到的IMSI确定对应的移动用户号码MSISDN,并利用确定的所述MSISDN确定所述UE的归属区域。
7.一种发送通用认证机制GBA初始化请求的系统,其特征在于,所述系统包括第一自举服务功能设备BSF、第二BSF和UE,其中:
UE,用于向第一BSF发送GBA初始化请求;
第一BSF,用于确定所述UE的归属区域,并根据预先保存的归属区域与BSF地址的对应关系,确定发送GBA初始化请求的UE的归属区域对应的第二BSF地址,以及根据第二BSF地址将所述GBA初始化请求转发给所述第二BSF。
8.如权利要求7所述的系统,其特征在于,所述系统还包括与第一BSF存在绑定关系的NAF;
UE,还用于向NAF发送访问请求,接收NAF返回的第一BSF的地址,并通过接收到的第一BSF的地址向所述第一BSF发起GBA初始化请求;
NAF,用于确定所述UE需要完成GBA初始化过程时,将所述第一BSF的地址发送给所述UE。
9.如权利要求7或8所述的系统,其特征在于,
第一BSF,进一步用于在接收到的GBA初始化请求中包含所述UE的IMSI时,根据所述IMSI确定对应的移动用户号码MSISDN,并利用确定的所述MSISDN确定所述UE的归属区域。
10.一种发送通用认证机制GBA初始化请求的系统,其特征在于,所述系统包括第一自举服务功能设备BSF、第二BSF和UE,其中:
UE,用于向第一BSF发送GBA初始化请求,以及接收第一BSF返回的第二BSF地址,并利用所述第二BSF地址向第二BSF发送GBA初始化请求;
第一BSF,用于确定所述UE的归属区域,并根据预先保存的归属区域与BSF地址的对应关系,确定发送GBA初始化请求的UE的归属区域对应的第二BSF地址,以及将所述第二BSF地址发送给UE。
11.如权利要求10所述的系统,其特征在于,所述系统还包括与第一BSF存在绑定关系的NAF;
UE,还用于向NAF发送访问请求,接收NAF返回的第一BSF的地址,并通过接收到的第一BSF的地址向所述第一BSF发起GBA初始化请求;
NAF,用于确定所述UE需要完成GBA初始化过程时,将所述第一BSF的地址发送给所述UE。
12.如权利要求10或11所述的系统,其特征在于,
第一BSF,进一步用于在接收到的GBA初始化请求中包含所述UE的IMSI时,根据所述IMSI确定对应的移动用户号码MSISDN,并利用确定的所述MSISDN确定所述UE的归属区域。
13.一种自举服务功能设备BSF设备,其特征在于,所述设备包括:
接收模块,用于接收UE的通用认证机制GBA初始化请求;
确定模块,用于确定所述UE的归属区域,并根据预先保存的归属区域与BSF的对应关系,确定发送GBA初始化请求的UE的归属区域对应的BSF地址;
发送模块,用于根据确定的BSF地址将所述GBA初始化请求转发给对应的BSF。
14.如权利要求13所述的设备,其特征在于,所述确定模块包括:
区域确定子模块,用于在接收到的GBA初始化请求中包含所述UE的IMSI时,根据所述IMSI确定对应的移动用户号码MSISDN,并利用确定的所述MSISDN确定所述UE的归属区域;
BSF确定子模块,用于将所述UE的归属区域内的BSF作为确定的BSF。
15.一种自举服务功能设备BSF设备,其特征在于,所述设备包括:
接收模块,用于接收UE的通用认证机制GBA初始化请求;
确定模块,用于确定所述UE的归属区域,并根据预先保存的归属区域与BSF地址的对应关系,确定发送GBA初始化请求的UE的归属区域对应的BSF地址;
发送模块,用于将确定的BSF的地址发送给UE。
16.如权利要求15所述的设备,其特征在于,所述确定模块包括:
区域确定子模块,用于在接收到的GBA初始化请求中包含所述UE的IMSI时,根据所述IMSI确定对应的移动用户号码MSISDN,并利用确定的所述MSISDN确定所述UE的归属区域;
BSF确定子模块,用于将所述UE的归属区域内的BSF作为确定的BSF。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910085799.8A CN101902733B (zh) | 2009-06-01 | 2009-06-01 | 一种发送gba初始化请求的方法、系统及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910085799.8A CN101902733B (zh) | 2009-06-01 | 2009-06-01 | 一种发送gba初始化请求的方法、系统及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101902733A CN101902733A (zh) | 2010-12-01 |
| CN101902733B true CN101902733B (zh) | 2013-06-12 |
Family
ID=43227857
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910085799.8A Active CN101902733B (zh) | 2009-06-01 | 2009-06-01 | 一种发送gba初始化请求的方法、系统及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101902733B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017041861A1 (en) * | 2015-09-11 | 2017-03-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Gateway, client device and methods for facilitating secure communication between a client device and an application server using redirect |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1845600A (zh) * | 2006-05-17 | 2006-10-11 | 中国移动通信集团公司 | 移动广播电视业务中实现用户密钥协商的方法及系统 |
| CN101366263A (zh) * | 2005-10-13 | 2009-02-11 | 艾利森电话股份有限公司 | 用于建立安全关联的方法和设备 |
-
2009
- 2009-06-01 CN CN200910085799.8A patent/CN101902733B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101366263A (zh) * | 2005-10-13 | 2009-02-11 | 艾利森电话股份有限公司 | 用于建立安全关联的方法和设备 |
| CN1845600A (zh) * | 2006-05-17 | 2006-10-11 | 中国移动通信集团公司 | 移动广播电视业务中实现用户密钥协商的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101902733A (zh) | 2010-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101322428B (zh) | 用于传递密钥信息的方法和设备 | |
| US8549293B2 (en) | Method of establishing fast security association for handover between heterogeneous radio access networks | |
| CN101674580B (zh) | 一种藉由固网接入移动核心网的方法 | |
| CN101043701B (zh) | 一种ip多媒体子系统为移动电路域用户提供注册和呼叫接续的方法及其系统 | |
| EP2027666B1 (en) | Access to services in a telecommunications network | |
| CN102349319B (zh) | 中继节点的设置和配置 | |
| CN1835436B (zh) | 一种通用鉴权网络及一种实现鉴权的方法 | |
| CN101933350B (zh) | 无线通信系统、基站、网关和无线通信方法 | |
| US20090129371A1 (en) | Method and system to enable mobile roaming over ip networks and local number portability | |
| CN110035037B (zh) | 安全认证方法、相关设备及系统 | |
| CN100413273C (zh) | 全球微波接入互操作网接入互联网协议多媒体子域的方法 | |
| CN100459799C (zh) | 一种终端使用网络的控制系统及其控制方法 | |
| CN101248644A (zh) | 用户数据的管理 | |
| CN101784035B (zh) | 一种业务网元与mme建立关联的方法、系统及用户设备 | |
| CN101990202B (zh) | 更新用户策略的方法及应用服务器 | |
| CN102017677A (zh) | 通过非3gpp接入网的接入 | |
| CN104170416A (zh) | 在线签约数据配置方法、装置及系统 | |
| CN102318386A (zh) | 向网络的基于服务的认证 | |
| EP3562185B1 (en) | Method and device for joining access node group | |
| CN102026163A (zh) | 通过无线保真技术接入网选择接入因特网的方法及装置 | |
| CN103384365A (zh) | 一种网络接入方法、业务处理方法、系统及设备 | |
| CN116193431A (zh) | 切片认证方法及装置 | |
| CN101730171B (zh) | 一种切换控制方法及系统 | |
| CN105453617A (zh) | 用于获得验证信息的方法和设备 | |
| CN101808321B (zh) | 一种安全认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |